WordPressでユーザーのCSVインポート・エクスポート機能を提供するプラグイン「Import and export users and customers」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.29.7 までのすべてのバージョンです。
本脆弱性を悪用された場合、特定の条件下において、サイトにログインしていない第三者が、管理者権限を持つユーザーとして自ら登録できる可能性があります。
対策として、バージョン 2.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ユーザー登録時にプロフィール項目を保存する処理において、書き込みを禁止すべきWordPressの内部データ(ユーザーの権限情報)が制限対象に含まれていなかったことに起因します。
その結果、攻撃者が細工した登録リクエストを送ることで、登録と同時に管理者権限を取得できる状態となっていました。
ただし、本脆弱性が悪用されるには、以下の2つの条件が同時に満たされている必要があります。
- プラグイン設定「プロフィールフィールドを表示する(Show fields in profile)」が有効になっている
- 過去に
wp_capabilitiesという列名を含むCSVファイルがインポートされたことがある
この2条件が揃っていない場合、攻撃は成立しません。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正な管理者アカウントの作成
- サイト外部の第三者が、管理者権限を持つユーザーとして登録
- 管理者権限を取得された場合、サイト全体の管理操作が可能
被害発生の条件
- 攻撃者はサイトにログインしていなくても、ユーザー登録フォームにアクセスするだけで攻撃が可能です
- なお、攻撃が成立するには、「脆弱性詳細」に記載の2条件が同時に満たされている必要があります
技術的な詳細
本脆弱性は、以下の2点が原因です。
① ユーザー権限を示す内部データが書き込み禁止リストに含まれていなかった
WordPressはユーザーの権限(管理者・一般ユーザー等の区別)を内部の管理データとして保存しています。このプラグインには「プロフィール項目として書き込んではいけないデータ」のリストが設けられていましたが、権限を管理するデータ(wp_capabilities)がそのリストに含まれていませんでした。
② 権限チェックが行われていなかった
プロフィール情報を保存する処理において、リクエストを送信した人物が「そのユーザー情報を編集できる権限を持っているか」を確認する仕組みが実装されていませんでした。そのため、ユーザー登録のタイミングで、通常は書き換えられないはずの権限データを自由に指定できる状態になっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.0 以降)へ更新してください。
- 不審な管理者アカウントの確認
- WordPress管理画面の「ユーザー」メニューより、心当たりのない管理者アカウントが作成されていないかご確認ください。
- 不審なアカウントが見つかった場合は、該当アカウントの削除を行ってください。
- プラグイン設定の確認
- プラグインの設定画面で「プロフィールフィールドを表示する(Show fields in profile)」が有効になっているかご確認ください。
- 現時点でこの機能を使用していない場合は、無効化することで攻撃リスクを低減できます。
⇒ 不審な管理者アカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Import and export users and customers 1.29.7 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3629 
(公開日 2026年3月21日 更新日 2026年3月23日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3629 悪用確率 0.04% (上位87%) 2026年3月24日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Import and export users and customers プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
